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0 Verfahnwi zum DIagnostizleren einer von Computervtren befaHenen Oatenverarbeltungsanlage. 



0. Das Verfahren ist gekennzeichnet durch die Ver- 
wendung aines. einen Aigorithmus enthaltenden, vi- 
rusfreien Programms P, aus dam zirni Zeitpunkt x = 
to mit Hftfe des Aigorithmus ein 
Programmauthentifizierungs-Code PAC « f (?) ge- 
bildet und zusammen mtt dem Programm abgespei- 
chert wlrd. 2u PrOfewecken wird nun dieses virus- 
freie Programm zu apfttnw Ze^nkten x « t1, 12. 
t3. ... tn als Kd d erp r ogr an wi in (£9 zu untersuchende 
Oatenverarbettungsaniaee eingebracht und gestartst, 
der sich dabel jtweUs ergsbende 
ProgrammauthentifWerungs-Code PAC' mit dem ge- 
speicherten ProgramnrtauthentifWerungs-Code PAC 
verglichen und bei l^jlelchheit ein Fehfersignal er- 
zeugt. 
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Die Erfindung betrifft ein Vertahren zum Oia- 
gnostizieren einer von Computetviren befallenen 
Datenverarbeitungsanlage gemafl den Merkmalen 
des Oberbegriffs des Patenfanspruchs 1 . 

Computerviren haben die Eigenschaft. 6aB sie 
ursprunglich sterile Programme infizieren. d.h. hin- 
sichtlich Qualitat und Quantitat so verSndern. daO 
die Funktion und eventuell die LSnge des befalle- 
nen Programms mit denen des ursprOnglich sten- 
len Programms nicht mehr ubereinstimmen. Ein 
Virusprogramm kann dabei sowohi als isoi.ertes 
Programm als auch in Gestalt eines bereits infiaer- 
tan Benutzerprogramms auftreten. In beiden Fa ten 
besitzt es die FShigkeit. eine Kopie yon sich selbst 
2u erzeugen und in ein anderes Programm einzu- 
schleusen. das dann seinerseits wieder als Virus 
auftreten und weitere Programme inSaeren kann 
mit der Foige. dafl sich Computerviren letztlich 
"lawinenartig" ausbreiten kannen. 

In Anbetracht des Schadens, den ein infiziertes 
Programm anrichten kann. kommt dem rechtzeiti- 
gen Erkennen und Auffinden eines solchen Pro- 
gramms eine erhebliche Bedeutung zu. In der Pra- 
xis stoCt diese jedoch auf emebliche Schwiengkei- 
ten. weil einem Programm. zumai einem umfang- 
reichen Programm. auf den ersten Blick grundsatz- 
lich nicht anzusehen ist. ob es infiziert ist Oder 
nicht Vergleichstests mit Hilfe eines stenlen Exem- 
plars desselben Programms anhand einer rein visu- 
ellen Prufung wMren zwar grundsStzlich mdglich. 
scheiden aber aus praktischen En^agungen aus. 
Auch der Snsatz der Oatenverarbeitungsanlage zur 
Programmprufung kommt letztlich nicht in Betracht. 
weil maschireii nicht mit letzter Sicherheit feststell- 
bar ist. ob ein Programm wirklich das tut. was es 
soil abgesehen davon. dafl noch viel weniger fest- 
steilbar ist. ob ein Programm etwas tut. was es gar 

nicht soil. , „ 

Im Obrigen hStten derartige PrUfroutinen. (alls 
. sie erfolgreich realisiert werden kSnnten. nur dann 
einen Sinn, wenn sie beliebig oft wiederholt werden 
kennten. Virusprogramme kfinnen nSmlich mit ei- 
ner besonderen Eigenart der sogenannten 
-AustSser'-FunWion behaftet sein. Oas einge- 
schleuste Virus halt dann fUr einen vorbestimmten 
Zeitraum still und wird erst durch den sogenannten 
Ausieser. zum Beispiel durch eine im Programm 
eingearbeitete Zeitangabe oder durch spezielle 
Rags wirksam. Wenn man also vor eventuellen 
-Zeitbomben- sicher sein will. muB die Oatenverar- 
beitungsanlage fortlaufend im Hinbliick auf eventu- 
ell eingeschleuste und neu auftretende Viren unter- 

suchl werden. ^. . . 

Der voriiegenden Erfindung liegt nun die Auf- 
gabe zugrunde. eine Methode zu finden. mit der 



eine einfache unc beliebig wiederhoibare Uberpnj- 
fung einer Oatenverarbeitungsanlage im Hinblick 
auf eventuell vorhandene Computen/iren durchfOhr- 

bar ist. , 
5 Oie LSsung dieser Aufgabe ergibt sich erlin- 
dungsgemaa durch die kennzeichnenden Merkma- 
le des Patenfanspruchs i. Bne vorteilhafte Weiter- 
bildung des Erfindungsgedankens ist im Anspnich 
2 angegeben. 

,0 Oas erfindungsgemafle Verfahren hat den Vor- 
teil. dafl anstelle eines sehr aufwendigen Pro- 
grammvergleichs lediglich ein Vergleich zweier Co- 
des erforderlich ist. Voraussetzung fOr das Funktio- 
nieren des erfindungsgemaflen Verfahrens ist eine 
,5 zweifeisfrei sterile Kcpie des Programms. das 
heiflt. das Programm mu8 auf einer Oatenverarbei- 
tungsanlage hergestelH werden. von der mit Sicher- 
heit davon ausgegangen werden kann. dafl sie zum 
Zeitpunkt der Programmhersteilung vinjsfrei war. 
20 Die QewShr. dafl ein steriles Verglek:hs-"Normal' 
vorhanden ist. kann am einfachsten mit einem von 
der Testperson selbst geschriebenen Programm 
gegeben werden. bei dem die Testperson sicher 
sein kann. dafl kein Vims eingepflanzt worden ist 
2$ Das aufgrund einer Oifferenz zwischen den beiden 
Codes gefundene Virus kann dann gegebenenfails 
isoiiert und untersucht werden. Aus.def Art und der 
Wirkungsweise des gefundenen Vims kOnnen 
schlleflfich Methoden zur Oeslnfektlon der Aniage 
30 entwickelt warden. ^ ^ ^ 

Im foigenden wird die Erfindung anhand der 
Zeichnung nSher erlSutert. Oabei zeigen 

FIG 1 ein BlockschaltWId tOr eine Anordnung 
zur Erzeugung eines Testprogramms. 
35 FIG 2 ein BlockschaltbiW fOr eine Anordnung 

zur DurchfOhrung eines Testdurchlaufs. 

Ausqangspunkt fur das erfindungsgemSfle Ver- 
fahren ist ein absolut vinjsfreies Programm P. des- 
sen Besonderheit dann besteht. dafl es einen Algo- 
40 nthmus I enthait. GemSfl Figur 1 wird nun mit Hilfe 
dieses Algcrithmus f zum Zeitpunkt to aus dem 
Programm P ein Programmauthentifizienjngs-Codd 
PAC erzeugt. der zusammen mit dem Programm P 
in einem Speichermedium M abgespeichert wird. 
45 Dieses, aus dem virusfreien Programm P und 
dem Programmauthentifiziewngs-Code PAC gebil- 
dete Testprogramm wird nun gemafl F.gur 2 zu 
spateren Zeitpunkten 11. 12 ... tn als sogenanntes 
Koderprogramm in die zu untersuchende Oatenver- 
50 arbeitungsanlage eingebracht. um feststellen ru 
konnen. ob diese Oatenverarbeitungsanlage noch 
steril Oder bereits von sogenannten Computerviren 
befallen ist. Dieser zum Beispiel durch einen m der 
Oatenverarbeitungsanlage vorhandenwi Zeitgeber 
T ausgeiaste Test iSuft nun so ab. dafl aus dem 
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gespeicherten Testprogramm, d.h. mit dem Im Pro- 
gramm P enthaltensn Algorlthmus f ein weiterer 
Programmauthanliflzierungs-Code PAC' erzeugt 
wrrd. Sowohl diesdr neu gebildete Programmau- 
thentifizierungs-Code PAC' als auch der gespei- s 
cherte Programmauthentifizierungs-Code PAC wer- 
den schllefllich einem Komparator COMP zuge- 
fOhrt der bai Ungleichheit der Signale ein Fehlersi- 
gnal erzeugt. 



AnspfUehe 

1. Verfahren zum Diagnostizjeren ainer von 
Computerviren befallenen Oatenverarbeitungaania- ?5 
ge mit HHfe dines Testprogramms, 
gekennzalchnet durch die Verwendung eines, ei- 

nen Algorithmus f enthaltenden. virusfreien Pro- 
gramms P. aus dem zunf) Zeitpunkt x = to mit 
Hilfe des Algorithmus ein sg 

Programmauthentifizierungs-Code PAC » f (P) ge- 
bildet und zusammen mit dem Programm abge- 
speichert wird und dafi dieses virusfreie Programm 
zu spMteren Zeitpunkten x' a ti. t2. t3... tn als 
K5derprogramm in (He zu untersuchende Datenver- 25 
arbeitungsanlage eingebracht und gestartet, der 
sich dabei jewells ergebende 

Pi'ogrammauthentifizierungs-Code (PAC ) mit dem 
gespeicherten Programmauthentifizierungs-Code 
(PAC) verglichen und bei Ungleichheit ein Fahlersi- 30 
gnal erzeugt wird. 

2. Verfahren nach Anspruch 1. 

dadurch getennzeichnet, da/} der zu spSteren 
Zeitpunkten gestartete Programmlauf Ajrch einen 
in der Datenverarbeitungsanlage vorhandenen Zeit- 35 
geber ausgeldat wird. 
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© Das Verfahren 1st gekennzeichnet durch die Ver- 
wendung eines. einen Algorrthmus enthaltenden. vl* 
rusfreien Programms P. aus dem zum Zeitpunkt x = 
to nnit Hllfe des Afgorithmus ein 
Programmauthentifizierungs-Ccde PAC = f (?) ge- 
bildet und zusannman mit dem Programm abgespei- 
chert wird. Zu PrOfzwecken wird nun dieses virus- 
freie Programm zu spjtteren Zeitpunkten x' =» ti, t2. 
t3, ... tn dis Kg de fp rogrt mm in die 2u untsrsuchende 
Oatenverarbeitungsanlage eingebracht und gestartet, 
der sich dabei JeMHs ^ ergebende 
Progranmauttientmzierunge-Code PAC' mft dem ge- 
speicherten PrografnmmjthenWtelerungs-Code PAC 
vergKchen und bei Ungleichhett ein Fehlersigndl er- 
zeugt 
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0 Das Verfahren ist gekennzeichnet durch die Ver- 
wendung eines, einen Algorithmus enthaltenden, vh 
rusfreien Programms P, aus dem mm Zeitpunkt x « 
to mit HiJfe des Algorithmus ein 
Programmauthentifizierurgs-Code PAC » f (P) ge- 
bildet und zusammen mit dam Programm abgespei- 
chert wird. Zu PrOfrwecken wird nun dieses virus- 
freie Programm 2u spateren Zeitpunkten x' « t1. t2. 
t3, ... tn als Kdderprogramm In die zu untersuchende 
Datenverarbeitungsanlags eingebracht und gestartet 
der steh dabei jsweiis ^ ergebende 
ProgrammauthentWiienjngs-Code PAC' mIt dem ge- 
speicherten Programmauthentiflzierungs-Code PAC 
vergtichen und bei Ungleichhsit ein Fehiersignal er- 
zeugt. 
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